SAML IDP を構成する

SAML 仕様では、次の 3 つのエンティティが定義されています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Apigee SSO)
  • ID プロバイダ(SAML アサーションを返します)

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Apigee SSO)にアクセスをリクエストします。Apigee SSO はそれを受けて(SAML サービス プロバイダとしてのロールで)SAML IDP に ID アサーションをリクエストし、これを取得します。さらに、そのアサーションを使用して、Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

このプロセスを次の図に示します。

処理の説明:

  1. Edge UI にアクセスするため、ユーザーが Edge UI のログイン URL にリクエストを送信します。例: https://edge_ui_IP_DNS:9000
  2. 未認証のリクエストが SAML IDP にリダイレクトされます。例: https://idp.customer.com。
  3. ユーザーがまだ ID プロバイダにログインしていない場合は、ログインするよう求められます。
  4. ユーザーがログインします。
  5. SAML IDP によってユーザーが認証されます。SAML IDP は SAML 2.0 アサーションを生成し、Apigee SSO に返します。
  6. Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth2 認証トークンを生成します。その後、次の場所にあるメイン Edge UI ページにユーザーをリダイレクトします。 
    https://edge_ui_IP_DNS:9000/platform/orgName

    orgName は Edge 組織の名前です。

Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)などの多くの IDP をサポートしています。ADFS を Edge で使用できるように構成する方法については、ADFS IDP での証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するメールアドレスが必要です。したがって、ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、次の設定の一部またはすべてが必要な場合もあります。

設定 説明
メタデータ URL

SAML IDP には Apigee SSO のメタデータ URL が必要な場合があります。メタデータ URL の形式は次のとおりです。


protocol://apigee_sso_IP_DNS:port/saml/metadata

例:


http://apigee_sso_IP_or_DNS:9099/saml/metadata
アサーション コンシューマ サービス URL

ユーザーが IDP 認証情報を入力した後で、Edge へのリダイレクト URL として次の形式で使用できます。


protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例:


http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

シングル ログアウト URL

Apigee SSO でシングル ログアウトをサポートすることができます。詳細については、Edge UI からのシングル ログアウトを構成するをご覧ください。Apigee SSO のシングル ログアウト URL の形式は次のとおりです。


protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例:


http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP エンティティ ID(またはオーディエンス URI)

Apigee SSO の場合は次のようになります。


apigee-saml-login-opdk

Okta の構成

Okta を構成するには:

  1. Okta にログインします。
  2. [Applications] を選択し、SAML アプリケーションを選択します。
  3. [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  4. [Sign on] タブを選択し、ID プロバイダのメタデータ URL を取得します。この URL は Edge を構成するときに必要となるため、メモしておきます。
  5. [General] タブを選択し、Okta アプリケーションを次の表に示すように構成します。
    設定 説明
    Single sign on URL ユーザーが Okta 認証情報を入力した後に使用される、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。 
    
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    apigee-sso で TLS を有効にする場合:

    
https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    apigee_sso_IP_DNS は、apigee-sso をホストしているノードの IP アドレスまたは DNS 名です。

    この URL では大文字と小文字が区別され、SSO は大文字でなければなりません。

    apigee-sso の前にロードバランサがある場合は、ロードバランサを通じて参照される apigee-sso の IP アドレスまたは DNS 名を指定します。
    Use this for Recipient URL and Destination URL このチェックボックスをオンにします。
    Audience URI (SP Entity ID) apigee-saml-login-opdk に設定します。
    Default RelayState 空白のままにできます。
    Name ID format EmailAddress を指定します。
    Application username Okta username を指定します。
    Attribute Statements (Optional) 次の図に示すように、FirstNameLastNameEmail を指定します。

これらを設定すると、[SAML Settings] ダイアログ ボックスは次のようになります。